Vulnerabilidad en WebWorks Help en múltiples productos (CVE-2009-3731)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
16/12/2009
Última modificación:
09/04/2025
Descripción
Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en WebWorks Help v2.0 a la v5.0 en VMware vCenter v4.0 anterior a Update 1 Build 208156; VMware Server v2.0.2; VMware ESX v4.0; VMware Lab Manager v2.x; VMware vCenter Lab Manager v3.x y v4.x anterior a v4.0.1; VMware Stage Manager v1.x anterior a v4.0.1; WebWorks Publisher v6.x a la v8.x; WebWorks Publisher 2003; y WebWorks ePublisher v9.0.x a la v9.3, 2008.1 a la 2008.4, y 2009.x anterior a 2009.3, permite a atacantes remotos inyectar secuencias de comandos web o HTML de su elección a través de (1) wwhelp_entry.html alcanzable a través d index.html y wwhsec.htm, (2) wwhelp/wwhimpl/api.htm, (3) wwhelp/wwhimpl/common/html/frameset.htm, (4) wwhelp/wwhimpl/common/scripts/switch.js, o (5) el componente window.opener en wwhelp/wwhimpl/common/html/bookmark.htm, relacionado con (a) parámetros desconocidos y (b) mensajes usados en los enlaces de "topic" para la funcionalidad de marcadores.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:webworks:epublisher:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:9.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:9.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:9.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:2008.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:2008.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:2008.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:2008.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:2009.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:epublisher:2009.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:help:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:help:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:help:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:help:5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:webworks:publisher:6.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.neohapsis.com/archives/bugtraq/2009-12/0229.html
- http://lists.vmware.com/pipermail/security-announce/2009/000073.html
- http://secunia.com/advisories/38749
- http://secunia.com/advisories/38842
- http://securitytracker.com/id?1023683=
- http://www.osvdb.org/62738
- http://www.osvdb.org/62739
- http://www.osvdb.org/62740
- http://www.osvdb.org/62741
- http://www.osvdb.org/62742
- http://www.securityfocus.com/archive/1/509883/100/0/threaded
- http://www.securityfocus.com/bid/37346
- http://www.webworks.com/Security/2009-0001/
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5944
- http://archives.neohapsis.com/archives/bugtraq/2009-12/0229.html
- http://lists.vmware.com/pipermail/security-announce/2009/000073.html
- http://secunia.com/advisories/38749
- http://secunia.com/advisories/38842
- http://securitytracker.com/id?1023683=
- http://www.osvdb.org/62738
- http://www.osvdb.org/62739
- http://www.osvdb.org/62740
- http://www.osvdb.org/62741
- http://www.osvdb.org/62742
- http://www.securityfocus.com/archive/1/509883/100/0/threaded
- http://www.securityfocus.com/bid/37346
- http://www.webworks.com/Security/2009-0001/
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A5944